文章发表于2021-01-30 10:10:46,归属【信息安全】分类,已有1137人阅读
企业面临的威胁一直在增长,但网络安全领域的人工智能是否能够阻止这种情况恶化呢?
人工智能是网络安全战争的必要盟友吗?
网络安全的威胁越来越多,从身份盗窃和账户接管,再到报复性勒索软件。企业正在感受到安全的压力,尤其是财富500强企业,它们拥有大量的数据存储。正因为如此,它们对那些想要试图接管这个蜜罐的坏人来说变得很有吸引力。
但是,并不是一切都完了。
在网络安全领域,人工智能虽然不是灵丹妙药,但可以帮助改善一个组织的整体网络安全态势——前提是他们首先掌握了安全基础知识(防火墙、数据加密等)。
网络安全中的人工智能
新的恶意软件不断产生,因此很难识别,更不用说防御了。人工智能检索所有这些不同的恶意软件(预测它大约有8亿种不同的菌株),并分辨出特定的模式;比如恶意软件的代码与XYZ等等类似。该技术在防范未来新恶意软件的组织中非常有用。
人工智能在检测异常方面也很出色;识别与现有行为模式不匹配的模式。如果恶意病毒迅速进入网络,它可以向某个组织发出警报。这是一笔巨大的资产,因为在过去恶意软件可以漫游数月甚至数年而不被发现,收集数据并为黑客带来可观的收入。
这能彻底解决问题吗?
但是好人和坏人都在使用AI,人工智能所做的是帮助确保组织不会成为传统攻击类型的牺牲品。
减轻内部威胁?
内部威胁无论是有意还是无意,都是组织脆弱性的最大原因,点击钓鱼邮件就是一个典型的例子。员工需要接受更多更广的网络安全意识培训。人工智能在这方面也有帮助,它可以从一个企业的不同数据源查看内部计算机的使用模式。例如,如果是凌晨2点,一名员工异常登录网络并下载一些内部文件,AI会迅速发现这是异常行为,并采取适当措施。
在网络中实施人工智能
我们不应该为了实现AI而去应用它。但是,它应该在什么时候应用呢?如果有一个人类专家能够完成某项任务,但需要很长时间才能完成,那么人工智能可以提供帮助。人类非常擅长识别模式,而软件非常擅长遵循规则。你可以教机器像人一样行事,它拥有的数据越多,它的工作就做得越好。
企业希望开始一段认知之旅,有时他们并不关心AI是否适合某个特定的用例。这绝对是错误的做法。要在网络安全领域实现人工智能,就必须有一个用例,必须有一个强大的数据集,尤其是有监督的算法。
安全从第一天做起
安全的基本性质已经改变,需要从第一天起就建立安全。组织需要开始思考如何将安全性转移到软件生命周期开发的最前沿。
我们不是生活在远古时代,那时组织开发软件,然后安全才出现。相反,企业需要组织中正确的技能,以便每个开发人员在开始编写一行代码之前,了解安全状况,并以普通公民的身份考虑安全问题。
还有一些基础设施的选择让黑客的日子很不好过。有一种称为微服务的体系结构范式,它是一堆模块,但每个模块都在做一些非常简单的事情。当你有非常简单的服务,并且不断地相互交流时,保护它们变得容易得多,因为这些服务本身并没有做什么,它们没有一个非常大的攻击区域。事实上,组织唯一需要保护的是微服务之间的通信。
随着这种架构范式的不断开发和部署,黑客很难瞄准移动的软件窗口。
但是,这个问题仍然存在,因为即使是现在,很多企业都有单块软件,一个长时间没有更新的巨大软件包,黑客有很多时间来研究并试图找出如何攻击它。
有了微服务,同一服务在一天内可能会有80种不同的部署,而黑客们不知道如何攻击它,因为它变化得太快了。
组织应该把安全工作交给人工智能吗?
从一开始就在软件中构建安全性,部署微服务,研究网络应用程序(而不仅仅是本地应用程序),实现防火墙并加密数据。所有这些基本安全功能都将帮助企业抵御日益增长的网络威胁。那么,人工智能在哪里呢?我们已经看到,它可以帮助检测异常,帮助减轻网络威胁和识别现有威胁的新菌株。
但是,现在信任这项技术是正确的吗?Quest的首席技术战略家Colin Truran并不这么认为,他质疑机构是否应该把他们的安全交给人工智能。
我们是否已经准备好或能够将安全控制权移交给我们环境中的人工智能,并因此变得过于自满于相信这种技术,从而导致进一步的漏洞?问题是所有新技术和新概念的本质是它们没有多少时间来充分证明。因此,我们将看到许多错误的声明和糟糕的实现方法,那些迅速遭受损失的人将其归咎于技术,而不是他们缺乏理解。
为了避免困扰大数据和区块链早期采集者的陷阱,组织必须从小做起,并行运作,不仅要在自己的组织内部建立专业知识,还要在所有人的基础上建立,开放并分享什么有效,什么不是有效。对于一个不公开信息是国防战略一部分的社区来说,这是一个很大的要求。